Partager via

Informations sur les appareils de Riverbed Technology qui sont configurés en tant que contrôleurs de domaine d’activité

  • Article

Cet article décrit les informations sur les appareils de Riverbed Technology qui sont configurés en tant que contrôleurs de domaine principal.

Numéro de base de connaissances d’origine : 3192506

Résumé

Microsoft offre une prise en charge commercialement raisonnable de ses logiciels. Si nous ne pouvons pas résoudre le problème d’un client lorsque des logiciels tiers sont impliqués, nous demanderons l’implication du fournisseur tiers. Selon le scénario, Support Microsoft peut demander au client de supprimer ou de reconfigurer le composant de la configuration pour déterminer si le problème persiste. Si le problème est confirmé ou fortement influencé par le composant tiers, le fournisseur du composant doit être impliqué dans la résolution du problème. Cette stratégie s’applique également aux appareils de Riverbed Technology, Inc.

Plus d’informations

Riverbed Technology, Inc. fait des appareils réseau intermédiaires qui visent à optimiser le réseau de trafic réseau en compressant et en mettant en forme le trafic qui transite par des connexions WAN chargées.

Les appareils peuvent intercepter les sessions SMB des utilisateurs finaux et obtenir des gains de performances si l’appareil Riverbed peut générer une somme de contrôle signée valide de la charge utile dans le contexte de sécurité du serveur. Pour ce faire, l’appareil se configure en tant qu’instance de serveur de confiance afin qu’il puisse agir en tant que serveur et pour un serveur qui se trouve dans l’étendue du trafic réseau optimisé.

L’approche de déploiement actuelle (septembre 2016) implique l’activation des paramètres UserAccountControl du contrôleur de domaine en lecture seule (RODC) sur un compte d’ordinateur normal ; ou à l’aide d’un compte de service hautement privilégié qui a répliquer les modifications d’annuaire toutes les autorisations. Dans certaines configurations, les deux types de comptes seront utilisés. Cette approche a un certain nombre de conséquences de sécurité, ce qui peut ne pas être évident au moment de la configuration.

Attentes

Lorsqu’un compte d’ordinateur est configuré en tant que contrôleur de domaine, il reçoit certains indicateurs et appartenances aux groupes qui lui permettent d’effectuer des procédures spécifiques à la sécurité et à Active Directory. Il s’agit notamment des éléments suivants :

  • Le compte peut emprunter l’identité de n’importe quel utilisateur dans Active Directory, sauf ceux qui sont marqués comme « sensibles et non autorisés pour la délégation ». En raison de la transition du protocole Kerberos, le compte peut le faire même sans avoir le mot de passe pour les utilisateurs autorisés à emprunter l’identité.
  • L’autorisation « Répliquer tous les changements d’annuaire » permet à l’appareil d’accéder aux hachages de mot de passe de tous les utilisateurs du domaine, y compris les comptes sensibles tels que KrbTgt, les comptes de contrôleur de domaine et les relations d’approbation.
  • Le compte est éligible à la surveillance en tant que contrôleur de domaine en utilisant des solutions de supervision.
  • En fonction de l’existence de ces indicateurs, les « appelants » (y compris les outils d’administration) attendent un serveur Windows et essaient d’accéder ou d’interagir avec des entités qui se représentent elles-mêmes en tant que contrôleurs de domaine. Cela inclut les services basés sur WMI, WinRM, LDAP, RPC et les services web Active Directory. De même, les applications, les ordinateurs membres et les contrôleurs de domaine partenaires s’attendent à ce que les entités qui se représentent en tant que contrôleurs de domaine interagissent et répondent de manière cohérente et bien définie.

Implications en matière de sécurité

Comme avec tout autre appareil informatique dans un environnement réseau, les appareils Riverbed peuvent être attaqués par des programmes malveillants. En raison de leur capacité à emprunter l’identité des utilisateurs Active Directory, les appareils Riverbed sont des cibles attrayantes pour ces attaques.

Microsoft recommande vivement d’utiliser le même niveau de protection physique et réseau et d’audit que vous utilisez pour vos contrôleurs de domaine en lecture-écriture (RWDCs). L’administration de ces appareils doit suivre les instructions actuelles relatives à la sécurisation de l’accès privilégié lors de la sécurisation de l’accès privilégié. Si vous utilisez actuellement des appareils Riverbed dans des emplacements qui ne sont pas suffisamment sécurisés pour les RWDC, nous vous recommandons vivement de passer en revue l’emplacement de ces appareils.

Implications opérationnelles

Les contrôleurs de domaine ont un indicateur spécial et des objets supplémentaires associés à leurs comptes qui fournissent une identification de rôle unique. Les voici :

  • Valeurs UserAccountControl sur le compte d’ordinateur du contrôleur de domaine
    • RWDC 0x82000 (Hex)
    • RODC 0x5011000 (hexadécimal)
  • Objet Paramètres NTDS dans le conteneur de configuration, dans le site du contrôleur de domaine

Les outils, services et applications peuvent interroger ces attributs pour générer une liste de contrôleurs de domaine, puis effectuer une opération, telle que la requête, qui suppose une réponse dc normale. Les appareils Riverbed n’implémentent pas l’ensemble complet des services de contrôleur de domaine Windows et ne répondent pas aux requêtes dc normales. Microsoft connaît les problèmes suivants qui sont causés par cette configuration :

  • Migration de la réplication sysvol du service de réplication de fichiers (FRS) vers la réplication de système de fichiers distribué (DFSR)

    Lorsqu’un domaine est passé au mode de domaine Windows Server 2008 ou version ultérieure, Microsoft vous recommande de migrer le moteur de réplication sysvol de FRS vers DFSR.

    L’outil de migration DFSR (dfsrMig.exe) génère un inventaire de tous les contrôleurs de domaine du domaine au début de la migration. Cela inclut les comptes de type DC utilisés par les appareils Riverbed. Les appareils Riverbed ne répondent pas aux modifications apportées aux objets Active Directory requis pour la migration vers la progression. Par conséquent, l’outil de migration DFSR ne parvient pas à se terminer, et les administrateurs doivent ignorer les erreurs pour passer à l’étape suivante de la migration sysvol. Ces erreurs fausses peuvent chevaucher les erreurs réelles des ordinateurs Windows Server réels.

    Étant donné que la migration sysvol ne peut pas être effectuée lorsqu’il existe un appareil Riverbed dans le domaine, Microsoft vous recommande de supprimer des appareils Riverbed pendant une migration.

  • Outils de supervision

    La plupart des outils de supervision de serveur sur le marché prennent en charge l’utilisation de requêtes Active Directory pour remplir un inventaire des systèmes clients et serveurs. Les outils qui tirent parti de l’objet UserAccountControl ou NTDS Setting pour rechercher des contrôleurs de domaine peuvent identifier incorrectement les comptes Riverbed en tant que comptes de contrôleur de domaine. Par conséquent, les appareils Riverbed apparaissent comme des serveurs gérables dans cette liste d’inventaire.

    De nombreuses solutions permettent ensuite le déploiement à distance d’agents de surveillance ou vous permettent d’interroger l’appareil à distance pour obtenir des informations de diagnostic. Toutefois, les appareils Riverbed ne prennent pas en charge ces interfaces et les outils de surveillance les signalent comme des défaillances.

    Contactez Riverbed pour plus d’informations sur la façon de surveiller correctement les appareils Riverbed par le biais de l’outil de surveillance de votre choix. Si aucun outil de surveillance n’est disponible, examinez l’option permettant d’exclure l’appareil de la surveillance. Microsoft recommande vivement la surveillance de l’intégrité des appareils, compte tenu de la sensibilité des fonctions effectuées par ces appareils.

  • Outil d’administration des stratégies de groupe (GPMC)

    Dans Windows Server 2012 et versions ultérieures, la console GPMC peut afficher l’état de réplication des paramètres de stratégie de groupe dans le domaine ou par stratégie. Les appareils Riverbed sont inclus dans la liste des comptes éligibles pour cette vérification d’état.

    Toutefois, les informations retournées à GPMC par Riverbed sont incomplètes, car elles n’ont pas d’objet Paramètres NTDS dans la partition de configuration Active Directory. Comme la console GPMC ne s’attend pas à ce problème, la console GPMC se bloque.

    Pour éviter cette défaillance, déployez la mise à jour suivante sur vos ordinateurs d’administration :

    La console de gestion des stratégies de groupe se bloque lorsque vous cliquez sur le domaine cible

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.